首页  流程图  详情

三保一评

2024-08-01 11:21:44   1  举报





三保一评

信息安全

作者其他创作

大纲/内容

方案设计

运营者配合安全保护工作部门，开展关键信息基础设施识别和认定活动，围绕关键信息基础设施承载的关键业务，开展风险识别。本环节是开展安全防护、检测评估、监测预警、应急处置等环节工作的基础

涉密网络投入运行后，应该接受保密局组织的安全保密风险评估，秘密级、机密级每两年至少 1 次，绝密级每年至少 1 次

其他测评要求

工程实施

管理流程

秘密级

等级

公民、法人和其他组织合法权益

社会秩序和公共利益

国家安全

损害

严重伤害

特别严重伤害

一级（用户自主保护级）

二级（系统审计保护级）

☆

三级（安全标记保护级）

四级（结构化保护级）

五级（访问验证保护级）

三员角色与职责

系统审批

等级保护级别

●在国家网络安全事件应急预案框架下制定应急预案●应急预案同内外部相关计划协调●非常规时期、遭受大规模攻击时等处置流程●每年至少组织开展 1 次本组织的应急演练

用户自主保护级

落实个人及单位的网络安全保护义务，合理地规避或降低风险。

管理安全

检测评估

转存日志

四级

机密级

安全管理机构

三级及以上每年评审

功能密级

基础管理

密评工作流程

数据安全

● 每年至少进行一次安全检测评估● 定期组织或参加跨运营者的安全检测评估

电信网、广播电视网、互联网

三员体系

等保二级测评的定级对象收到破坏时，不会对国家安全造成损害。而等保三级的定级对象被博怀有可能会对国家安全造成损害。

一级

分保测评

关保

《信息安全技术关键信息基础设施网络安全保护基本要求》已发布。2023年5月1日起正式实施。

系统定级

访问验证保护级

组建工程监理机构，细化管理制度，监督工程实施，或选择具有涉密资质的工程监理单位进行监理。

信息密码措施

商用密码应用安全性评估

测评实施重点：2

根据检测评估、监测预警环节发现的问题运营者制定并实施适当的应对措施，并恢复由于网络安全事件而受损的功能或服务，动态识别关键信息基础设施的安全风险

关键信息基础设施安全防护能力等级

等级特征

能力等级 1

能识别相关风险，防护措施成体系，能够开展检测评估活动，具备监测预警能力；能够按规定和报送相关信息；在突发事件发生后能应对并按计划恢复。

能力等级 2

能清晰识别相关风险，防护措施有效，能够检测评估处主要安全风险，主动监测预警和态势感知，事件响应较为及时，业务能够及时恢复。

能力等级 3

识别认定完整清晰，防护措施体系化、自动化高，能够及时检测评估处主要安全风险，使用自动化工具进行监测预警和态势感知，信息共享和协同程度高，事件响应及时有效，业务可近实恢复。

备案证明

用户需要使用系统时，应提出书面申请并经部门主管批准。系统管理员根据申请创建用户账号，安全保密管理员配置权限并激活账号。安全审计员则定期查看相关日志，确保操作经过授权和批准。

针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护

威胁情报

关键业务和关键业务链识别分析

保护工作部门

商用密码应用安全性评估（简称“密评”），指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

主管事项

收敛暴露面

应急预案和演练

环境安全

关保工作简介

分析识别

登录日志

所有涉及地方秘密的信息系统，重点是党政机关、军队和军工单位

工作空间

配置管理

绝密级信息系统应限定在封闭、安全可控的独立建筑群内。集中处理工作秘密的信息系统，可参照秘密级信息系统的有关要求进行保护

管理人员

菜单管理

安全建设管理

涉密信息系统

定级：等保二和等保三的区别

—— 以关键业务为核心的整体防控。—— 以风险管理为导向的动态防护。—— 以信息共享为基础的协同联防。

报密码管理部门审核

广度

监督

计算机病毒防护产品应选择取得计算机信息系统安全专用产品销售许可证的可靠产品。

最强

测评报告

角色管理

事件处置

安全防护

负责管理安全保密设备，以及系统安全事件的审计，分析和处理。

新建涉密网络、系统都需经过测评（地方保密局设立或者授权的保密测评机构）、审批（地市以上保密局）才能投入运行使用

系统管理员

电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能，会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。

定级报告

包括但不限于鉴别数据、重要业务数据和重要个人信息等。

监测预警

等保三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统，重要领域、重要部门跨省、跨市或全国（省）联网运营的信息系统，各部委官网等。

项目管理

委托密评机构开展系统评估

系统测评

物理安全

识别认定

数据库安全

系统建设整改

资源日志

密码产品应选用地方密码管理局批准的产品。

访问控制

首席网络安全官、专门网络安全管理机构

等保2.0标准

主要负责：系统管理员和安全保密员的操作行为的审计跟踪、分析和监督检查。

强制保护

基础/权限设置

网络安全保护

“关保”的工作流程

适用场景

负责及时发现违规行为，并定期向系统安全保密管理机构汇报情况

运行安全

等保要求：强制性

分级保护规则

保护对象及管理原则

关键信息基础设施

资产识别

流程密级

配置要求与管理流程

指由计算机及相关和配套设备、设施构成的，按照一定的应用目标和规则来存储、处理、传输地方秘密信息的系统或网络

边界安全

重点保护

安全计算环境

安全保密管理员

专控保护

非涉密信息系统

发生较大变化时重新识别

业务方向

基本概念

6 个能力域概括 3 个能力等级逐级增高注：高等级包含低等级所有能力要求

系统审计保护级

保护要求

网络安全保护工作

网络安全等级保护

三员应由本单位内部政治上可靠、熟悉管理流程的人员担任，并签署保密承诺书。系统管理员和安全审计员不能由同一人兼任，以确保权力的制衡

自主保护

帮助其采取管理和技术措施对关键信息基础设施进行全生存周期安全保护。

很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业，满足相关主管单位和行业要求。

系统管理，审计管理，安全管理，集中管控。

1、测评是否能够对内部发起网络攻击进行防范。2、测评是否能够对新型网络攻击行为的分析。

包括边界防护，访问控制，入侵防范，恶意代码防护等。

△核查是否能够对互联网访问行为进行审计。△核查是否能够对恶意邮件、垃圾邮件进行安全保护。△在测评中注重对数据安全保护的测评工作。△整个测评要求IPv6商用环境使用。

机房物理访问控制、防火设备、防雷击、温湿度控制、稳定的电力供应、电磁防护。

符合要求

电磁泄露发射防护

数据源管理

秘密级对应等保三级、机密级对应等保四级、绝密级对应等保五级。

1、所有跨越边界的访问和数据流必须通过受控端口进行通信，在测评时候不但要考虑网络（大）边界和不同级别系统之间的边界（小），还要测评是否有非授权的移动数据上网卡、无线WIFI（随手WIFI）等。2、限制无线网络的使用，测评时候要核查确保无线网络单独组网，然后通过边界防护设备统一接入内部有限网络。

资源权限

系统管理

安全审计

等级测评

系统安全建设

管理机构

指导保护

日常管理

等级测评强度由测评广度和深度来描述；测评广度越大，范围越大，包含的测评对象就越多，测评实际投入程度越高。

环境管理

结构化保护级

安全运维管理

系统备案

安全性

确定评估对象

身份鉴别

运行维护管理

满足国家相关法律法规和制度的要求。如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》。

工作台

国家保密局

测评强度

等保测评

关保的主要工作

更强

主动防御

机密增强级

运营者根据已识别的安全风险，在规划、人员数据、供应链等方面制定和实施适当的安全防护措施，确保关键信息基础设施的运行安全。本环节在认定关键信息基础设施及识别其安全风险的制定安全防护措施

三级测评对象更加多，更加全面

1、是否使用加密方式进行远程管理。2、是否部署综合网管系统。3、是否部署综合审计系统。4、是否部署集中防病毒系统、补丁管理系统。5、是否部署集中的安全时间识别、报警和分析系统。

入侵防范、恶意代码防范、身份鉴别、访问控制、数据完整性、保密性、个人信息保护。

密级限制

建设整改

●监测关键业务所涉及的系统●部署攻击监测设备●构建正向和逆向模型●关联分析●网络安全信息共享

三级

监督检查

响应和处置

等保二级测评每两年开展一次，而等保三级测评，每年开展一次。

二级

测评实施重点：3

国家保密工作部门、国家密码管理部门：负责等级保护工作中有关保密工作和密码工作的监督、检查、指导

等保：是一个全方位系统安全性标准，不仅仅是程序安全，包括：物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

攻防演练

境内运维

● 向供应链设计的相关内外部组织通报● 恢复关键业务和信息系统● 取证分析● 评估恢复情况● 通报安全事件及其处置情况

进行风险评估，设计方案，并通过专家论证，负责系统审批的保密工作部门应参加论证。

重要工业控制系统

功能权限

关键信息基础设施保护

定级对象（即需要过等保的对象）建设整改后，需要选择符合国家要求的测评机构，按《网络安全等级保护基本要求》等技术标准进行等级测评，之后向监管单位提交测评报告。

通信安全

等级保护的意义

是在第一级的等级要求上，要求信息系统具备身份鉴别、数据安全保护的非体系化密码保障能力，可应对当前部分安全威胁；

网络安全保护计划

1、信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。2、从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑，从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性

测评与检查

分保

攻击发现和阻断

安全管理制度

可追溯性

采用商用密码技术/每年评审

公众服务：如党政机关网站、企业是单位网站、新闻网站等；民生服务：包括金融、电子政务、公众服务等。基础生产：能源、水利、交通、数据中心、电视广播等。

供应链安全

对关键业务链开展安全风险分析

主管部门

设备安全

权限信息描述

●必要时重新开展业务、资产和风险识别工作

等保

管理原则

安全通信网络

涉密信息系统和设施

针对六个方面提出的111项要求

密码评估等级

针对即将已发生的网络安全事件或威胁，主动及时发布安全防御。

组织管理

涉密信息系统投入运行后还应定期进行安全保密测评和检查。

密评

网络安全服务机构

为检测安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度，确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件

版本管理

准确性

业务识别

重大变更

操作系统安全

采用资产探测技术识别资产

保护对象

强

等保二级信息系统适用于地级市以上国家机关、企业、事业单位内部一般的信息系统，小的局域网，非涉及秘密、敏感信息的办公系统等。

公安机关初审

权限日志

哪些系统和单位需做“密评？”

网络产品和服务清单、网络安全审查、合格供应方目录、来源的稳定或多样性、知识产权、源代码安全检测、网络产品和服务奉献隐患处理

五级

等级保护

鉴别与授权、入侵防范、自动化工具

密评的意义

是在第三级的等级要求上，要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力，信息系统建设有规范、可靠、完整、主动防御的密码保障体系，是体系化秘密应用的强制要求；

关键信息基础设施安全防护所需具备的能力：包括识别认定、安全防护、检测评估、监测预警、事件处置、主动防御六个方面的关键能力，每个安全能力包含若干能力指标，每个能力指标包含若干评价内容

等保三级的信息和数据涉及面更广，在低于跨度也更大。

备案申请

主要负责：系统的日常运行维护工作，包括网络设备和系统的安装、配置、升级、维护等。

系统废止

系统工程实施完毕后，建设使用位向国家保密局涉密信息系统保密测评中心及分中心申请完成系统测评。

重要性

基础信息

在机密级的基础上，增加要求

建立内外部协同网络威胁情报共享机制

涉密信息系统分级保护

表单密级

重要信息系统

监测

深度

数据传输

系统安全性保护

涉密网络中使用的信息设备，应当从地方有关主管部门发布的涉密专用信息设备名录中选择。

面向社会服务的政务信息系统

监控保护

类别

《涉及国家秘密的信息系统分级保护技术要求》

《网络安全等级保护基本要求》

《关键信息基础设施网络安全保护基本要求》

《信息系统密码应用基本要求》

职能部门

国家相关保密部门

公安网监部门

密码管理局

评估标准

《涉及国家秘密的计算机信息系统分级保护测评指南》

《信息安全技术网络安全等级保护测评过程指南》

《信息安全技术关键信息基础设施安全检查评估指南》

《商用密码应用安全性评估测评过程指南》

所有涉及国家秘密的信息系统，重点是党政机关、军政、军工单位

重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统；比如：政府、教育、卫生等重要网站及各种信息系统

关键信息基础设施：如电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业

关键信息基础设施、网络安全保护等级三级以上的系统、国家政务信息系统

系统分级

秘密级、机密级和机密级（增强）、绝密级

第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）、第五级（专控保护级）

参照等保，重点保护

一至四级逐级增强保护能力

工作流程

系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止

定级、备案、整改、测评、复核

识别认定、安全防护、检测评估、监测预警、事件处置

确定评估对象、开展测评工作、输出密码测评报告、密评结果上报

测评内容

物理隔离安全保密产品选择安全域边界防护密级标识

安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理

合规检查安全技术检测分析评估

总体要求密码功能要求密码技术应用要求密钥管理安全管理

绝密级

日常管理包括基本管理要求，人员管理、物理环境与设施管理、信息保密管理等。

分保注意事项

公安机关：等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导

1、访问控制设备的最后一条安全策略是拒绝所有通信。2、对进出网络的内容进行管控，需要使用下一代防火墙。

负责用户管理，如增加或删除网络和系统用户，以及数据备份和日志审查。

不符合要求

信息安全保密

未纳入名录的应选择政府采购目录中的产品，确实需要选用进口产品的，应进行安全保密检查，安全保密产品应通过地方保密科技测评中心检测

数据存储

数据安全保护计划、数据分类分级、境内存储、重要数据和个人信息保护、容灾备份、数据安全风险评估、数据处理活动全流程保护

为检验安全防护措施的有效性，运营者制定并实施网络安全检测预警和信息通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示

分保测评流程

三项基本原则、六个方面活动、111 条安全要求

开展测评工作

权限限制

党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

二级进行多种类的抽样测评

定级不准

备份与恢复

5个级别

支撑其开展关键信息基础设施安全保护建设、运维、评价和考核工作。

密评结果上报

测评力度

测评方法

第一级

第二级

第三级

第四级

第五级

访谈

测评对象在种类和数量上抽样，种类和数量都较少

测评对象在种类和数量上抽样，种类和数量都较多

测评对象在数量上抽样，在种类上基本覆盖

测评对象在数量上抽样，在种类上全覆盖

全覆盖

核查

测试

简要

充分

较全面

全面

功能测试

功能测试和测试验证

数据方向

核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。

权限查询

测评实施-集中管控：包括不限于安全设备或安全组件

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护

指导

预警

● 自动模式预警● 安全预警信息持续获取和及时通报

指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。（国家将商用密码技术列入国家密码，任何单位和个人都有责任和义务保护商用密码技术的秘密。）

1、为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法规范商用密码的使用和管理。2、改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。3、开展密评，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。

是在第二级的等级要求上，要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力，要求信息系统建设有规范、可靠、完整的密码保障体系，是体系化密码应用引导性要求。

能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息紫苑得重要信息系统。

抗抵赖

定级要求

权限信息

数据完整性、保密性测评实施重点： 2

应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。

安全保密产品部署与配置

审核通过

安全审计员

安全管理责任人、安全背景审查、安全技能考核和教育培训、安全保密协议

涉密信息系统在投入运行后，经保密工作部门审批。